Alineamiento de las TICs en la Consejería de Economía y Hacienda con la movilidad y el teletrabajo Jesús García Elías Analista de Sistemas Experto en representación de la Secretaría General Técnica - Coordinación de Tecnologías y Comunicaciones (). Consejería de Economía y Hacienda. Junta de Andalucía Francisco José Doménech Colomer Adjunto en representación de la Secretaría General Técnica - Coordinación de Tecnologías y Comunicaciones (). Consejería de Economía y Hacienda. Junta de Andalucía
1. Introdución La Consejería de Economía y Hacienda de la Junta de Andalucía (CEH) ha abordado en los últimos años un proceso de modernización de sus infraestructuras y servicios, que tiene como principal catalizador la progresiva incorporación de las Tecnologías de la Información y la Comunicación para la automatización de procedimientos administrativos, tanto en su tramitación interna como en la prestación de servicios telemáticos a la ciudadanía. Dado la gran cantidad de sistemas existentes o previstos, se consideró imprescindible por parte de la Secretaría General Técnica, la realización de un Plan Estratégico de Sistemas y Tecnologías de la Información y las Comunicaciones que permitiera el crecimiento armónico de los Sistemas Corporativos de Información y Comunicación dando respuesta a las necesidades, tanto de carácter corporativo como a las de Unidades concretas de la Consejería. De esta forma, se ha considerado que el citado Plan, con su marcado carácter estratégico, se convierte en una herramienta que vertebra y pone en práctica la estrategia corporativa y la estrategia sectorial de los sistemas de gestión económico-financiera para la prestación de servicios adecuados. El Plan Estratégico de Sistemas y Tecnologías de la Información y Comunicación de la Consejería de Economía y Hacienda se ha desarrollado siguiendo cuatro ejes: Funcional: Mapa de Procesos gestionados por la CEH Operativo: Definición del Nuevo Modelo de Organización de los servicios de IT Control y administración corporativa: Definición de la estrategia relativa a Información de seguimiento de actuaciones y objetivos Tecnológico: Evaluación de escenarios de evolución tecnológica / arquitectura de sistemas que soportan los procesos En este escenario, en la CEH, se han definido las acciones necesarias para conseguir dicho modelo objetivo. A continuación comentaremos una línea de trabajo que ha adquirido una gran relevancia en el Marco Estratégico de actuación de la Secretaría General Técnica. Hoy en día es incuestionable la relevancia del teletrabajo y movilidad como pilares del concepto de sostenibilidad que hace referencia al necesario alineamiento de las políticas públicas, y por tanto de las actuaciones administrativas, que propugnan un cambio en el modelo productivo más respetuoso con un entorno medioambiental complejo y en permanente evolución. Las múltiples experiencias que fomentan el teletrabajo tanto en organizaciones privadas como públicas, se multiplican por el mundo. Afortunadamente, España es protagonista de muchas de ellas y la CEH también. En el caso concreto de la CEH, son varias las necesidades que han surgido a lo largo de los años y que han requerido de soluciones de movilidad y teletrabajo. Por un lado, el aumento de la criticidad de los sistemas de información en los que se sustentan los Servicios Públicos Digitales con la ampliación de los horarios ofrecidos a la ciudadanía a 24x7, han hecho que sea muy importante reducir en lo posible los tiempos de respuesta ante incidencias en la infraestructura TIC. Para ello se habilitó la posibilidad de conexión remota a la Infraestructura Tecnológica de la CEH al personal técnico, los avisos de alarmas vía SMS de servicios críticos y los servicios de asistencia remota por parte de algunos proveedores. En el caso de la Alta Dirección de la Consejería, el acceso en linea a la información más actual para la toma de decisiones y la posibilidad de acceder a esta desde cualquier sitio y en cualquier momento, hacen imprescindible la dotación de herramientas que faciliten la
movilidad y el acceso remoto a los sistemas de información. Especial importancia tienen en este caso los mecanismos de seguridad que garanticen la confidencialidad del acceso la información. Otro de los campos en los que se han implantado servicios de acceso remoto y teletrabajo, ha sido el outsourcing de desarrollo de aplicaciones. Tradicionalmente los trabajos de desarrollo de aplicaciones de la Consejería, especialmente las grandes aplicaciones corporativas, se han llevado a cabo desde las instalaciones de la CEH, ofreciendo infraestructura y equipamiento a los equipos de desarrollo. Con el objetivo de ahorra costes, el modelo de trabajo ha evolucionado hacia un modelo de mixto de outsourcing en el que los equipos de desarrollo trabajan desde las oficinas de las empresas de servicios TIC pero utilizan las herramientas y acceden a los recursos y sistemas de información de la Consejería. Este modelo ha requerido de soluciones de acceso remoto y teletrabajo. La implementación del teletrabajo y la movilidad requieren de una Infraestructura Tecnológica que sustente los servicios de acceso remoto a las aplicaciones e información corporativa que son elementos básicos, hoy día, para el desempeño de la mayoría de trabajos. Esta infraestructura, compuesta de un conjunto de elementos hardware, software y de comunicaciones, debe ser flexible y segura en el mas amplio sentido de la palabra. Debemos facilitar el acceso a los recursos desde cualquier sitio, a cualquier hora y con las máximas garantías de seguridad. Los servicios de acceso deben estar disponibles en el mayor grado posible. Para ello en el diseño de las arquitecturas software y hardware que soportan estos servicios, se buscan siempre las configuraciones de alta disponibilidad, con los elementos redundantes y tolerantes a fallos. Especial importancia tienen todos los aspectos relativos a la confidencialidad. El acceso a los sistemas de información desde redes públicas, en determinados casos, requieren de un especial cuidado para proteger la información corporativa. Sistemas de autenticación y cifrado de datos robustos son imprescindibles en estos casos. Las tecnologías usadas se complementan e integran perfectamente con las usadas para dar acceso a las aplicaciones internas de la Consejería y aquellas que son horizontales, para toda la Junta de Andalucía. Esto hace que el usuario/a acceda de la misma manera a los recursos de información estando en la Consejería o fuera de ella. Añadido a esto, se busca un punto único de acceso a través del cual se acceda a los recursos y de esta manera simplificar el control y la monitorización de los accesos. En adelante en este documento describiremos la infraestructura tecnológica que la CEH ha implementado para dar cobertura a las necesidades de movilidad y teletrabajo. 2. Tecnologías de comunicación para el acceso remoto Sea cual sea el esquema a adoptar en los diversos escenarios en los que puede encontrarse un empleado/a, existen diversas tecnologías de conexión que entran en juego a la hora de hablar de teletrabajo, movilidad y/o acceso remoto. Estas tecnologías van a depender de distintos factores, como son la seguridad requerida, la viabilidad técnica, la administración y gestión de la solución adoptada, y la facilidad de uso que evite el rechazo del empleado/a. Estos aspectos, han de analizarse en profundidad de cara a elegir la mejor opción tanto para el empleado/a como para la
organización. Además de analizar estos elementos, es necesario facilitar al empleado/a 2 aspectos concretos: la conectividad y la solución de acceso remoto. En cuanto a la conectividad, los escenarios que se plantean habitualmente dependerán fundamentalmente de la movilidad requerida al empleado/a, es decir, el acceso desde una ubicación fija o independiente de ella. Afortunadamente, las actuales redes de comunicaciones nos ofrecen un amplio abanico de posibilidades que facilitan la movilidad y permiten la conexión desde cualquier sitio. Cuando hablamos de teletrabajo y de ofinas remotas, es decir, ubicaciones estables, tenemos opciones como el ADSL o Cable para hogares o pequeñas oficinas o líneas de comunicaciones de mayor capacidad como MacroLAN para oficinas remotas con mayores necesidades de ancho de banda. Si lo que buscamos es movilidad total, las opciones utilizadas son UMTS o GPRS en la mayoría de los casos. En cuanto a las soluciones de acceso remoto, existen diversas opciones para facilitar al empleado/a el acceso a la información remota. En el caso de la Consejería de Economía y Hacienda de la Junta de Andalucía, disponemos principalmente de dos alternativas: VPN-NISA Usuario GPRS/UMTS/Radius Con estas soluciones se consigue dar al empleado/a la posibilidad de acceder a todos los servicios que necesita, ya que se simula un escenario análogo al de estar conectado físicamente a la red de la Consejería, independientemente de donde se encuentre. En concreto las dos soluciones asignan una dirección IP del rango del organismo en cuestión, permitiendo acceder a la red de la Consejería, pero no a las de otros organismos. Hay que destacar que todos los accesos externos a la Red Corporativa de la Junta de Andalucía se hacen a través del Nodo de Interconexión, Seguridad y Accesos (NISA) de la red corporativa, siendo éste, desde el punto de vista de las comunicaciones, el único punto de entrada desde redes externas, ya sean públicas o privadas.
2.1 VPN-NISA (RCJA) La VPN (Virtual Private Network) de la RCJA (Red Corporativa de la Junta de Andalucía) permite una conexión privada a la red corporativa de la Junta de Andalucía a través de Internet. Este caso se utiliza principalmente cuando el usuario/a tiene una ubicación fija con su correspondiente conectividad a Internet, ya sea ADSL, Cable o similar, o en el caso de usuarios móviles, con acceso a Internet a través de GPRS/UMTS sin posibilidad de usuario GPRS/Radius del nodo de acceso de la Junta de Andalucía en la red Móvil de Vodafone (adjudicataria del lote correspondiente de RCJA). Esta opción es posible usarla también desde dentro de RCJA pero en otro organismo, permitiendo así el acceso a la información del usuario/a desde cualquier ubicación. El usuario/a, por tanto, debe tener una conexión a internet, fija o móvil. Mediante un cliente VPN que se ejecuta en el puesto remoto se establece la comunicación con RCJA a través del nodo de conexión NISA (Nodo de Interconexión, Seguridad y Accesos). En este punto se realiza la validación del usuario contra el LDAP corporativo de la Junta de Andalucía y para permitir esta conexión se requiere un certificado de seguridad emitido por la Autoridad de Certificación de la Junta de Andalucía que se validará en el mismo proceso de conexión. En este caso la comunicación se cifra utilizando L2TP encapsulado en IPSEC, recibiendo el usuario una IP de un rango específico de la Consejería, por lo que, a efectos prácticos, esta dentro de red corporativa en un rango perteneciente a la Consejería, pudiendo desde ese punto acceder a los recursos para los que tiene habilitado el acceso. 2.2 Usuario GPRS/UMTS/Radius
Esta solución de acceso remoto se utiliza con usuarios/as que disponen de un dispositivo portátil y a través de la red móvil de Vodafone. Los dispositivos portátiles podrían ser un teléfono móvil o un modem USB GPRS/UMTS conectado a un ordenador portatil. 3. Servicios de acceso remoto 3.1 Servicio de aplicaciones publicadas con Citrix Presentation Server La infraestructura de Citrix Presentation Server permiten ofrecer acceso a las aplicaciones corporativas, con independencia de dispositivos y de redes. El usuario accede a las aplicaciones publicadas a traves del portal (Web Interface) de Citrix Presentation Server. Una vez identificado el usuario en el sistema la lista de aplicaciones a las que puede acceder es la misma tanto si accede desde la oficina como si se conecta en remoto.
El esquema típico suele ser de aplicación con arquitectura cliente/servidor o en tres capas con un cliente en el que se ejecuta la capa de aplicación y/o presentación accediendo a unos servicios de bases de datos corporativas. En este caso el cliente final se conecta vía Citrix al portal de acceso seguro donde se identifica y se le permite el acceso al servidor de aplicaciones donde se ejecuta el cliente de la aplicación que a su vez se conecta con el servidor de base de datos. Además de este modelo de aplicaciones podemos publicar cualquier aplicacion siempre que estas pueda ejecutarse en servidores Windows en entornos multiusuario. Los requisitos del cliente no son muchos. Debe tener un usuario que se autenticará contra el directorio activo de Windows, un navegador web entre los que se incluyen los mas extendidos, el cliente ICA instalado y un certificado expedido por la CEH. Citrix Presentation Server presenta una serie de características que facilitan la movilidad, orientadas a mejorar la experiencia del usuario/a cuando la línea de comunicaciones no tiene mucho ancho de banda o presenta unos niveles altos de latencia. Dado que esta tecnología es ampliamente usada como acceso remoto a las aplicaciones de la Consejería (en algunas ocasiones hasta 1200 usuarios concurrentes), describimos a continuación las principales características y ventajas tecnológicas: "SPEED SCREEN": Aceleración de archivos de sonido, vídeo, imagen y flash de SpeedScreen, mejora la experiencia del usuario/a para ver aplicaciones Web con gran cantidad de gráficos en conexiones de bajo ancho de banda. "SPEED SCREEN LATENCY REDUCTION":mejora el rendimiento en conexiones de alta latencia proporcionando al usuario/a una respuesta automática (local) en respuesta a las entradas de teclado y movimientos del ratón. "SMOOTH ROAMING": Permite a los usuarios/as cambiar de un dispositivo a otro, y sus sesiones de aplicaciones les seguirán, garantizando con ello transiciones transparentes entre escenarios de acceso, incluyendo la posibilidad de imprimir automáticamente en la impresora más cercana. "SMART ACESSS": Presentation Server ofrece control sobre qué aplicaciones y cómo se tiene acceso a ellas. Por ejemplo, un usuario/a que trabaja en la Consejería puede tener acceso total a dispositivos, unidades y periféricos locales; pero al conectarse desde fuera de la red corporativa, Presentation Server puede restringir el acceso local para prevenir la descarga de información confidencial o la introducción de virus en el entorno de cómputo corporativo, y aún así proporcionar acceso a un conjunto prescrito apropiado de aplicaciones. La versión más reciente incluye
soporte mejorado en las aplicaciones a tarjetas inteligentes, eliminando así la necesidad de realizar la configuración específica de las aplicaciones. "SESSION REABILITY": Permite la reconexion a las aplicaciones abiertas, tras una interrupciones de las comunicaciones. Amplio soporte de plataformas clientes incluyendo Windows 32 y 64 bits, linux, MAC, Unix o Windows Mobile. Acceso vía Navegador con mínima configuración por parte del cliente. Reducido consumo de ancho de banda. El consumo de ancho de banda por cliente ICA es muy inferior al consumo de clientes RDP/HTTPS, 30 Kbps de media de los clientes ICA, frente a los 150 Kbps de media de los clientes RDP/HTTPS. ESCALABILIDAD: Con soporte hasta para 1,000 servidores y hasta 100,000 usuarios. TOLERANCIA A FALLOS, dirigiendo a los usuarios a servidores y aplicaciones disponibles, balanceando la carga, característica de confiabilidad de sesiones, independencia de la plataforma cliente respecto de la plataforma de servidor. ARQUITECTURA SEGURA POR DISEÑO, centralizando la infraestructura de aplicaciones, protegiendo la información en el centro de datos al tiempo de ofrecer acceso controlado desde fuera de la red corporativa, ofreciendo cifrado o codificación SSL/TLS. Mediante la centralización de aplicaciones y datos, la Consejería pueden controlar y monitorear el acceso, mantener alejados los virus, spyware y otros programas que pueden poner en riesgo la seguridad. COMUNICACIONES SEGURAS: Toda la comunicación entre servidores está cifrada mediante el estándar para cifrar datos DES a través de GSSAPI (Kerberos). Las ventajas principales que añade Citrix Secure Gateway: Un solo punto de acceso único a todas las aplicaciones. Mecanismos robustos de autenticación y autorización. Sistema redundante y tolerante a fallos. Se dispone de una infraestructura de 2 servidores CSG y dos servidores WI con balanceo de carga. Compatibilidad con cifrado SSL/TLS estándar en la industria. Asi como comunicaciones seguras entre todos los componentes de la arquitectura (end-to-end SSL). 3.2 Servicio de escritorios remotos de PCs Se trata, en este caso, de una conexión del usuario al escritorio de su PC de la Consejería utilizando la infraestructura de Citrix Presentation Server y los servicios de Terminal Server de su PC de escritorio.
El cliente de escritorio remoto de Windows (Cliente RDP) se ejecuta en un servidor de aplicaciones Citrix Metaframe Presentation Server y el control de acceso al PC es doble: por un lado el cliente de RDP se lanza desde una aplicación (Escritorio Remoto LoginExt) en la que se autoriza explícitamente al usuario el acceso a uno o mas PCs y por otro lado se autoriza en el propio PC al usuario a conectarse a él vía escritorio remoto. Es requisito, evidentemente, que el usuario/a disponga de un PC en la oficina o sede que sea alguna versión de Windows que disponga de servicios de Terminal Server y que estos estén activados y configurados adecuadamente. Por lo tanto se trata de un servicio que se aplica habitualmente a los usuarios/as con necesidades de movilidad. En este caso el usuario/a tiene el mismo escritorio cuando accede remotamente que tendría en la Consejería, con todas sus aplicaciones, documentos y accesos a recursos. 3.3 Servicio de escritorios virtuales Se trata de un acceso equivalente al anterior pero en este caso se trataría de un PC Virtual utilizando la tecnología de virtualización de escritorios de VMWare. La infraestructura de escritorios virtuales de la Consejería de Economía y Hacienda está basada en una solución mixta compuesta de las mejores características proporcionadas por los principales fabricantes de virtualización: VMware, con su solución de virtualización de escritorio View 3 y Citrix Presentation Server. Esta aproximación mixta unifica los canales de acceso remoto de la Consejería, con lo que el usuario/a puede seguir utilizando los procedimientos ya conocidos. Las ventajas que nos aporta la solución de VMware: Movilidad: el usuario/a tiene a su disposición el conjunto completo de herramientas necesarias para desarrollar su trabajo, independientemente de su ubicación. Consistencia de la configuración: al trabajar con escritorios ubicados físicamente dentro de la organización y estar estos sujetos a los parámetro de esta, el usuario/a puede estar seguro que estará alineado con las políticas de configuración y seguridad de la Consejería. En la figura siguiente podemos apreciar el esquema de la infraestructura de acceso a escritorios virtualizados.
El usuario/a conecta mediante un cliente ICA a la infraestructura segura de Citrix de la Consejería que es la encargada de presentar la aplicación de cliente de VMware View que será la encargada de, a su vez, posibilitar el acceso al escritorio virtual. Una vez que el usuario/a se encuentra dentro de su escritorio virtual, éste se encarga de presentarle al usuario/a todos los recursos de la infraestructura de la Consejería, tal y como si estuviera ubicado físicamente dentro de las instalaciones de la CEH. Entrando el mayor nivel de detalle, el esquema de la infraestructura muestra la existencia de dos componentes propios de la infraestructura de virtualización de escritorio: View Manager Connection Server, es el elemento encargado de gestionar las peticiones conexión solicitadas por los clientes de VMware View. Como se aprecia en el esquema, este es un elemento cuya carga está balanceada entre varias replicas. Todos los servidores que componen el Servidor de conexiones cuentan con una instancia de ADAM (Active Directory Aplication Mode) que se sincroniza con el dominio corporativo, encargada de autenticar a los usuarios que intentan acceder a los escritorios virtuales. Para poder sacar mayor aprovechamiento de los recursos de la infraestructura, nos resulta interesante agrupar los escritorios virtuales por grupos de usuarios que desempeñan tareas similares, o que al menos hacen uso del mismo conjunto de aplicaciones o configuraciones. Es VMware View Composer el encargado de gestionar estos grupos de escritorios virtuales, posibilitando incluso la creación de máquinas virtuales según la necesidad del servicio. Una de las ventajas de los escritorios virtuales respecto a los escritorios físicos es que en este caso no es necesario disponer de un puesto de escritorio en la Consejería, por lo que este servicio puede aplicarse tanto a los casos de teletrabajo como a las soluciones de movilidad.
3.4 Servicio de escritorios remotos de Servidores El acceso a escritorios remotos en servidores es similar al acceso a los escritorios de PCs con algunas diferencias: El usuario se conecta vía Citrix al escritorio de un servidor de aplicaciones Citrix Presentation Server o bien vía RDP desde un servidor Citrix a cualquier escritorio de Servidor Windows con los servicios de Terminal Server activados y configurados. En cuanto a la infraestructura de acceso y los requisitos del cliente son exactamente iguales que para los casos anteriores. Debe tener un usuario que se autenticará contra el directorio activo de Windows, un navegador web entre los que se incluyen los mas extendidos, el cliente ICA instalado y un certificado expedido por la CEH. Además, al usuario/a debe concederse un permiso explícitamente en la máquina para que pueda acceder al escritorio del servidor. 4. Conclusiones y otros aspectos a tener en cuenta Para concluir, es importante analizar que existen no sólo factores tecnológicos que permiten implementar un esquema de teletrabajo. La tecnología nos ayuda a realizar procesos de forma más óptima y facilitar nuevas formas de acceso al trabajo fundamentadas en necesidades concretas y justificadas. Pero antes que la tecnología, si no se cuenta con una buena cultura tanto del trabajo como informática, es muy difícil conseguir un ambiente de teletrabajo. Adicionalmente a las necesidades originales de la Consejería (acceso 24x7 del personal técnico que presta soporte a la Infraestructura Tecnólogica de la Consejería, acceso por parte de la Alta Dirección a la información en cualquier sitio y en cualquier momento y reubicación de parte del personal de outsourcing de desarrollo de aplicaciones para ahorrar costes), el teletrabajo y las infraestructuras tecnológicas para facilitar la movilidad pueden ser herramientas eficaces, no sólo para mejorar la productividad, la eficacia y eficiencia en el trabajo, sino para alinearse con objetivos que claramente demanda nuestra sociedad como son una mejor conciliación de la vida laboral y familiar y una economía sostenible. Aunque esta forma de trabajo, no es aplicable a toda actividad laboral, se debe de plantear su aplicación en todas aquellas actividades que así lo permitan.
Ahora bien, esta nueva cultura de trabajo rompe con el paradigma tradicional de estar en una oficina o lugar fijo con el fin de acceder a la información. Sin embargo, implementar formas de trabajo como ésta, no es sólo cuestión tecnológica, es cuestión cultural y de muchos factores relacionados: derechos de uso de información, aspectos legales, recursos humanos, etc. Uno de los problemas que habrá que estudiar con detenimiento es el de cómo afecta en general esta modalidad de trabajo al Estatuto de los Trabajadores y al Estatuto del Empleado Público. No obstante, todo parece indicar que poco a poco todos estos problemas se irán resolviendo, y pasado un tiempo, esta forma de trabajo también se irá imponiendo, en los puestos de trabajo que no dependan de un horario de realización y donde lo importante sean los resultados obtenidos frente a un horario de presencia en el puesto de trabajo.